Передача в KUMA событий с машин Windows

Для передачи событий с машин Windows в KUMA используется связка агента и коллектора KUMA. Передача данных организована следующим образом:

1. Установленный на машине агент KUMA получает события Windows:
   • с помощью коннектора WEC: агент получает события, поступающие на устройство по подписке (subscription), и журналы сервера;
   • с помощью коннектора WMI: агент подключается к удаленным серверам, указанным в конфигурации, и получает события.
2. Агент без предварительной обработки передает события коллектору KUMA, указанному в точке назначения.

   Можно настроить агент таким образом, чтобы разные журналы отправлялись в разные коллекторы.

3. Коллектор принимает события от агента, выполняет полный цикл обработки события и отправляет обработанные события в точку назначения.

Получение событий с агента WEC рекомендуется при использовании централизованного получения событий c устройств Windows с помощью технологии Windows Event Forwarding (WEF). Агент необходимо установить на сервер, который выполняет сбор событий, он будет выполнять роль Windows Event Collector (WEC). Не рекомендуется устанавливать агенты KUMA на каждое конечное устройство, с которого планируется получать события.

Процесс настройки получения событий с использованием агента WEC подробно описан в приложении Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC).

Подробнее о технологии Windows Event Forwarding см. в официальной документации Microsoft.

Получение событий с помощью агента WMI рекомендуется использовать в следующих случаях:

• Если отсутствует возможность использовать технологию WEF для реализации централизованного сбора событий, одновременно с этим запрещена установка стороннего ПО на сервере-источнике событий (например, агент KUMA).
• Если необходимо выполнить сбор событий с небольшого количества устройств – не более 500 устройств для одного агента KUMA.

Для подключения журналов Windows в качестве источника событий рекомендуется использовать мастер "Подключить источник". При использовании мастера в процессе создания коллектора с коннекторами типами WEC и WMI автоматически создаются агенты для приема событий Windows. Также ресурсы, необходимые для сбора событий Windows, можно создать вручную.

Создание и установка агента и коллектора для получения событий Windows происходит в несколько этапов:

1. Создание набора ресурсов агента

   Коннектор агента:

   При создании агента на вкладке Подключение необходимо создать или выбрать коннектор типа WEC или WMI.

   Если хотя бы одно название журнала Windows указано в коннекторе типа WEC или WMI с ошибкой, или недоступен сервер WMI, агент будет получать события из всех перечисленных в коннекторе журналов Windows, кроме проблемного. При этом статус агента будет зеленый. Попытки получить события будут повторяться каждые 60 секунд, сообщения об ошибке будут добавляться в журнал сервиса.

   Точка назначения агента:

   Тип точки назначения агента зависит от используемого вами способа передачи данных: nats, tcp, http, diode, kafka, file.

   В качестве разделителя в точке назначения необходимо использовать значение \0.

   Дополнительные параметры точки назначения агента (например, разделитель, сжатие и режим TLS) должны совпадать с дополнительными параметрами коннектора коллектора, с которым вы хотите связать агент.

2. Создание сервиса агента в консоли KUMA
3. Установка агента KUMA на машине Windows, с которой вы хотите получать события Windows

   Перед установкой убедитесь, что компоненты системы имеют доступ к сети и откройте необходимые сетевые порты:

   • Порт 7210, протокол TCP: от сервера с коллекторами к Ядру.
   • Порт 7210, протокол TCP: от сервера агента к Ядру.
   • Порт, настроенный при создании коннектора в поле URL: от сервера агента к серверу с коллектором.
4. Создание и установка коллектора KUMA

   При создании набора ресурсов коллектора на шаге Транспорт необходимо создать или выбрать существующий коннектор, с помощью которого коллектор будет получать события от агента. Тип коннектора должен совпадать с типом точки назначения агента.

   Дополнительные параметры коннектора, такие как разделитель, сжатие и режим TLS, должны совпадать с дополнительными параметрами точки назначения агента, с которой вы хотите связать агент.

Для корректной работы некоторых плейбуков может потребоваться настроить дополнительное обогащение коллектора.

Чтобы настроить параметры правил обогащения в коллекторе KUMA:

1. Добавьте правило обогащения и в соответствующих полях укажите следующую информацию:
   • Название – укажите любое название правила.
   • Тип источника – dns.
   • URL – IP–адрес контроллера домена.
   • Запросов в секунду – 5.
   • Рабочие процессы – 2.
   • Срок жизни кеша – 3600.
2. Добавьте правило обогащения и выполните следующие действия:
   1. Заполните поля:
      • Название—укажите любое название правила.
      • Тип источника – event.
      • Исходное поле – DestinationNTDomain.
      • Целевое поле – DestinationNTDomain.
   2. Нажмите на кнопку Добавить преобразование и в соответствующих полях укажите следующую информацию:
      • Тип—append.
      • Константа—.RU.
      • Тип—replace.
      • Символы—RU.RU.
      • Чем заменить—RU.
3. Повторите действия из пункта 2, указав значение SourceNTDomain в Исходное поле и Целевое поле.
4. Добавьте сопоставление с учетными записями LDAP и выполните следующие действия:
   • В блоке параметров Сопоставление с учетными записями LDAP укажите название контроллера домена.
   • Нажмите на кнопку Применить сопоставление по умолчанию, чтобы заполнить таблицу сопоставления стандартными значениями.